A causa della pandemia da coronavirus, e dei negozi chiusi, si è registrato un boom degli acquisti online, con la conseguenza che sempre più utenti ricevono SMS da numeri sconosciuti, con i quali i corrieri notificano dell’arrivo di una determinata spedizione, offrendo link per tener traccia dell’ordine e farsi trovare reperibili al momento della consegna. Consci di tale situazione, gli hacker hanno approntato delle campagne virali ad hoc, come quella avente per protagonista il malware Flu Bot 3.9.
Secondo il Malware Hunter Team e il CERT-AGID, molti utenti Android in Italia, Polonia, Germania, Spagna, e Ungheria, stanno ricevendo degli SMS, apparentemente attribuibili a DHL, nei quali li si avvisa dell’imminente arrivo di un pacco, con annesso collegamento per seguire la spedizione. Il link porta a un sito ben reso, con tanto di logo DHL, che invita a scaricare un’applicazione, DHL.apk, con tanto di guida per l’installazione, abilitando la procedura da fonti sconosciute.
A quel punto, l’utente in realtà installa il malware di cui sopra, che chiede i permessi necessari a farsi passare da servizio di accessibilità, in modo da aver pieno accesso ai dati sensibili dell’utente: Flu Bot 3.9 può leggere ed esportare la lista dei contatti, disattivare il Play Protect e l’autenticazione a due fattori, aprire url, spedire messaggi malevoli, disinstallare applicazioni, sovrapporre livelli ai siti di home banking per rubarne le credenziali, leggere gli SMS per reperire i codici di autorizzazione di acquisti e transazioni online, attivare alcuni servizi, tra cui la deviazione delle chiamate.
Per cautelarsi contro tale campagna malware, gli esperti raccomandano di prestare attenzione alla forma con cui sono scritti i messaggi, e di verificarne il numero di telefono, evitando di cliccare sui collegamenti di quelli sospetti o, quanto meno, non fornendo in seguito dei dati sensibili. È sempre bene, inoltre, cancellare da subito tali messaggi, aver installato un antivirus, e aggiornato il device alle ultime patch di sicurezza, scegliendo solo gli store ufficiali per il download delle app, senza sbloccare l’installazione da fonti sconosciute.
Nell’eventualità che si sia caduti già vittima dell’attacco, occorre procedere alla disinstallazione dell’app untrice, eventualmente revocandole i diritti amministrativi, magari procedendo in modalità provvisoria: risultando ciò impossibile, l’extrema ratio sarà quella di ripristinare il device alle condizioni di fabbrica con un reset. Da segnalare, infine, che l’attacco non ha effetto sui device iOS: ricevendo l’SMS su un iPhone, il collegamento porta a una pagina di phishing che, dietro un finto sondaggio, chiede l’inserimento di alcuni dati.